Active Directory Security
Active Directory è utilizzato da oltre il 90% delle aziende in tutto il mondo, pertanto, è uno degli obiettivi più comuni durante gli attacchi informatici.
Active Directory Security ha lo scopo di innalzare i livelli di sicurezza dei servizi di dominio Active Directory dell’azienda.
Diffusione dei Ransomware tramite Active Directory
Soprattutto negli ultimi anni, i Ransomware si sono evoluti utilizzando dei sistemi avanzati in grado di espandersi all’interno di una rete. Tipicamente il malware include funzionalità specifiche per propagarsi da un dispositivo infetto iniziale ad altri dispositivi sulla stessa rete.
Invece di scrivere e testare il codice aggiuntivo, che potrebbe essere soggetto ad errori, gli hacker hanno optato per sfruttare un sistema che è già presente nella maggior parte delle organizzazioni, ovvero Active Directory.
Nel momento in cui un attaccante riesce ad ottenere un accesso privilegiato all’interno di AD, diventa poi facile acquisire privilegi e visibilità sull’intera infrastruttura IT di un’organizzazione. Le soluzioni on-premise e cloud risultano essere entrambe vulnerabili: l’Active Directory contiene infatti informazioni su tutti gli utenti, gli endpoint, le applicazioni e i server.
È possibile utilizzare strumenti di amministrazione standard per interrogare la directory senza essere rilevati dai software e sistemi di sicurezza.
Gli hacker possono quindi utilizzare AD per propagare il ransomware a tutti i dispositivi dell’organizzazione.
Come prevenire la diffusione dei Ransomware tramite Active Directory
Gli attacchi ransomware che sfruttano Active Directory per diffondersi o eseguire ricognizioni generalmente necessitano di privilegi di amministratore in Active Directory. Spesso, le organizzazioni non controllano o gestiscono in maniera efficace l’uso degli account AD con privilegi elevati, lasciando i sistemi IT vulnerabili a ransomware e altri attacchi. Di seguito, si presentano sei approcci per salvaguardare l’accesso a questi account AD privilegiati e complicare l’uso di Active Directory da parte degli attaccanti per diffondere il Ransomware all’interno della rete:
- Diminuire il numero di membri nei gruppi privilegiati di Active Directory.
- Restringere l’utilizzo degli account privilegiati in Active Directory.
- Preferire gli account locali rispetto a quelli di dominio.
- Impiegare un modello di amministrazione stratificato in Active Directory.
- Salvaguardare gli account amministrativi con l’autenticazione a più fattori.
- Monitorare Active Directory per rilevare attività anomale.
L'active Directory Security si articola in due attività distinte
Nel primo stadio, denominato Discovery, saranno impiegate diverse metodologie di analisi e attacco, da quelle basilari a quelle più complesse, per identificare e valutare quanto il dominio sia suscettibile a cyberattacchi.
Nella fase seguente, ci concentreremo sulla simulazione di varie tipologie di attacco e tecniche di “Dominio del Dominio”, per determinare la fattibilità di queste tecniche e il loro impatto sulla rete.
Gli attacchi perseguiranno due obiettivi principali:
- Determinare se e come un aggressore possa acquisire il massimo livello di privilegi sul domain controller.
- Analizzare quali strategie, con il minor livello di privilegi necessario (least privilege), permettono all’aggressore di ottenere il controllo del dominio e resistere alle contromisure.
Fondamenti della seconda fase
Questa fase utilizzerà i dati raccolti durante il processo di Discovery come base di partenza, passando poi alla definizione delle azioni da attuare per ridurre o eliminare i rischi o gli impatti individuati. Successivamente, forniremo supporto nell’attuazione delle misure concordate con il cliente, seguito da una verifica finale per confermare la loro efficacia.
Relazione finale
Al termine delle operazioni, sarà prodotto un rapporto dettagliato sullo stato iniziale del sistema, un sommario delle attività svolte e suggerimenti su possibili policy o procedure da adottare in una fase successiva.
In pillole
Il dominio è il principale obiettivo dei criminali informatici, poiché concede ampi privilegi sulla rete aziendale. Di conseguenza, potrebbe essere necessario rivedere e rafforzare Active Directory per ridurre i rischi per la sicurezza.
Active Directory Security conduce una serie di test per valutare l’esposizione ai cyber attacchi e verificare le tecniche di protezione più efficaci. Di seguito pianifica e da supporto per attivare le misure di contenimento.
